La NIS2 si applica alle medie e grandi imprese in settori critici come energia, trasporti, sanità e servizi digitali, alle Pubbliche Amministrazioni e ad altri soggetti specifici come fornitori di servizi fiduciari e gestori di domini. La normativa si estende anche ai fornitori di servizi essenziali e importanti, indipendentemente dalle loro dimensioni.
Le principali novità introdotte dalla NIS2 includono:
- Obbligo di notifica degli incidenti di sicurezza entro 24 ore (pre-notifica) e 72 ore (notifica completa) al CSIRT nazionale, con una relazione finale entro un mese.
- Adozione di un approccio “multi-rischio” che considera tutte le potenziali minacce ai sistemi informatici, inclusi eventi fisici come furti o incendi.
- Maggiore enfasi sulla cooperazione e lo scambio di informazioni tra gli Stati membri per rafforzare la resilienza a livello europeo.
- Responsabilizzazione (“accountability”) delle aziende, che devono documentare e dimostrare le attività svolte per garantire la sicurezza informatica.
- Verifica della sicurezza della catena di fornitura, sia dal punto di vista informatico che procedurale.
- Obbligo di formazione del personale in materia di sicurezza informatica.
Gli adempimenti previsti dalla NIS2 includono:
- Definizione di policy per l’analisi dei rischi e la sicurezza dei sistemi informatici.
- Implementazione di sistemi di gestione degli incidenti.
- Predisposizione di piani di Business Continuity e Disaster Recovery.
- Monitoraggio delle vulnerabilità e manutenzione dei sistemi informativi.
- Esecuzione di audit interni periodici.
- Formazione del personale e simulazioni periodiche.
- Adozione della crittografia come strumento di sicurezza quotidiano.
- Definizione di policy per la gestione degli accessi e degli asset aziendali.
- Utilizzo dell’autenticazione a più fattori (MFA).
Le sanzioni per la mancata conformità alla NIS2 possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale per i servizi essenziali, e 7 milioni di euro o l’1,4% del fatturato per i servizi importanti. È prevista anche una sanzione fino allo 0,1% del fatturato globale per la mancata registrazione sulla piattaforma ACN.
La NIS2 rappresenta un passo importante per rafforzare la sicurezza informatica in Europa, imponendo alle aziende di adottare un approccio proattivo e strutturato alla gestione dei rischi informatici!”